首页 购物车 询价
www.GB-GBT.com

[PDF] GB/T 20438.6-2017 - 自动发货. 英文版

标准搜索结果: 'GB/T 20438.6-2017'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 20438.6-2017 英文版 1395 GB/T 20438.6-2017 3分钟内自动发货[PDF] 电气/电子/可编程电子安全相关系统的功能安全 第6部分:GB/T 20438.2和GB/T 20438.3的应用指南 有效

基本信息
标准编号 GB/T 20438.6-2017 (GB/T20438.6-2017)
中文名称 电气/电子/可编程电子安全相关系统的功能安全 第6部分:GB/T 20438.2和GB/T 20438.3的应用指南
英文名称 Functional safety of electrical/electronic/programmable electronic safety-related systems -- Part 6: Guidelines on the application of GB/T 20438.2 and GB/T 20438.3
行业 国家标准 (推荐)
中标分类 N10
国际标准分类 25.040
字数估计 106,195
发布日期 2017-12-29
实施日期 2018-07-01
起草单位 机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、北京和利时系统工程有限公司、上海黑马安全自动化系统有限公司、皮尔磁工业自动化贸易(上海)有限公司、横河电机(中国)有限公司、上海工业自动化仪表研究院、上海中沪电子有限公司、西门子(中国)有限公司
归口单位 全国工业过程测量控制和自动化标准化技术委员会(SAC/TC 124)
提出机构 中国机械工业联合会
发布机构 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会

GB/T 20438.6-2017 Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 6: Guidelines on the application of GB/T 20438.2 and GB/T 20438.3 ICS 25.040 N10 中华人民共和国国家标准 代替GB/T 20438.6-2006 电气/电子/可编程电子安全相关系统的 功能安全 第6部分:GB/T 20438.2和 GB/T 20438.3的应用指南 IEC 61508-2andIEC 61508-3,IDT) 2017-12-29发布 2018-07-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布 目次 前言 Ⅴ 引言 Ⅵ 1 范围 1 2 规范性引用文件 3 3 定义和缩略语 3 附录A(资料性附录) GB/T 20438.2和GB/T 20438.3的应用 4 附录B(资料性附录) 硬件失效概率评估技术示例 11 附录C(资料性附录) 诊断覆盖率和安全失效分数的计算 67 附录D(资料性附录) E/E/PE系统中与硬件相关的共因失效影响的量化方法 70 附录E(资料性附录) GB/T 20438.3中软件安全完整性表的应用示例 83 参考文献 97 图1 GB/T 20438的整体框架 2 图A.1 GB/T 20438.2的应用 7 图A.2 GB/T 20438.2的应用(图A.1续) 8 图A.3 GB/T 20438.3的应用 10 图B.1 完整安全回路的可靠性框图 12 图B.2 两个传感器通道配置示例 15 图B.3 子系统结构 18 图B.4 1oo1物理框图 19 图B.5 1oo1可靠性框图 19 图B.6 1oo2物理框图 19 图B.7 1oo2可靠性框图 20 图B.8 2oo2物理框图 20 图B.9 2oo2可靠性框图 20 图B.10 1oo2D物理块图 21 图B.11 1oo2D可靠性框图 21 图B.12 2oo3物理框图 22 图B.13 2oo3可靠性框图 22 图B.14 低要求运行模式架构示例 31 图B.15 高要求或连续运行模式的架构示例 43 图B.16 带有2oo3结构传感器的简单完整的回路的可靠性框图 45 图B.17 与可靠性框图B.1等效的简单故障树模型 46 图B.18 等效故障树/可靠性框图 46 图B.19 单一周期测试部件瞬时不可用率U(t) 48 图B.20 使用故障树时的PFDavg计算原理 48 图B.21 交错测试的影响 49 图B.22 复杂测试模式实例 50 图B.23 对一个双部件系统的马尔可夫图形建模 51 图B.24 多相马尔可夫建模原理 52 图B.25 利用多相马尔可夫方法得出的锯齿形曲线 53 图B.26 马尔可夫近似模型 53 图B.27 由于要求本身失效的影响 54 图B.28 测试时间影响建模 54 图B.29 包含DD和DU失效的多相马尔可夫模型 55 图B.30 改变逻辑(2oo3至1oo2)而不是对首次失效进行维修 56 图B.31 带吸收态的“可靠度”马尔可夫图 56 图B.32 无吸收态的“可用度”马尔可夫图 58 图B.33 单个周期性测试部件的佩特里网模型 59 图B.34 佩特里网建模共因失效和维修资源 61 图B.35 使用可靠性框图构建佩特里网和辅助佩特里(Petri)网用于PFD 和PFH 计算 62 图B.36 出现失效和修复的单部件的简易的佩特里网模型 63 图B.37 通过形式化语言进行功能和功能障碍建模示例 64 图B.38 不确定性传递原理 65 图D.1 各个通道失效与共因失效的关系 72 图D.2 冲击模型的故障树实现 81 表B.1 本附录中使用的术语及其范围(应用于1oo1、1oo2、2oo2、1oo2D、1oo3、2oo3) 16 表B.2 检验测试时间间隔为6个月,平均恢复时间为8h时,要求时的平均失效概率 23 表B.3 检验测试时间间隔为1年,平均恢复时间为8h时,要求时的平均失效概率 25 表B.4 检验测试时间间隔为2年,平均恢复时间为8h时,要求时的平均失效概率 27 表B.5 检验测试时间间隔为10年,平均恢复时间为8h时,要求时的平均失效概率 29 表B.6 低要求运行模式示例中传感器子系统在要求时的平均失效概率(检验测试时间间隔 为1年,MTTR 为8h) 31 表B.7 低要求运行模式示例中逻辑子系统在要求时的平均失效概率(检验测试时间间隔 为1年,MTTR 为8h) 32 表B.8 低要求运行模式示例中最终元件子系统在要求时的平均失效概率(检验测试时间间隔 为1年,MTTR 为8h) 32 表B.9 非完善检验测试的示例 33 表B.10 检验测试时间间隔为1个月、平均恢复时间为8h的平均危险失效频率(高要求或连续 运行模式下) 35 表B.11 检测测试时间间隔为3个月,平均恢复时间为8h的平均危险失效概率(高要求或连续 运行模式下) 37 表B.12 检验测试时间间隔为6个月、平均恢复时间为8h的平均危险失效概率(高要求或连续 运行模式下) 39 表B.13 检验测试时间间隔为1年以及平均恢复时间为8h的平均危险失效概率(高要求或连续 运行模式下) 41 表B.14 高要求或连续运行模式架构示例中传感器子系统平均危险失效频率(检验测试的时间 间隔为6个月,MTTR 为8h) 43 表B.15 高要求或连续运行模式架构示例中逻辑子系统平均危险失效频率(检验测试的时间 间隔为6个月,MTTR 为8h) 44 表B.16 高要求或连续运行模式架构示例中最终元件子系统平均危险失效频率(检验测试的 时间间隔为6个月,MTTR 为8h) 44 表C.1 诊断覆盖率和安全失效分数的计算范例 68 表C.2 不同组件的诊断覆盖率和有效性 69 表D.1 可编程电子或传感器或最终元件的评分 75 表D.2 Z 值:可编程电子 77 表D.3 Z 值:传感器或最终元件 78 表D.4 βint和βDint的计算 78 表D.5 冗余级别高于1oo2的系统的β的计算 79 表D.6 可编程电子的示例值 79 表E.1 软件安全要求规范 84 表E.2 软件设计与开发:软件架构设计 84 表E.3 软件设计与开发:支持工具和编程语言 86 表E.4 软件设计与开发:详细设计 86 表E.5 软件设计和开发:软件模块测试和集成 87 表E.6 可编程电子集成(硬件和软件) 87 表E.7 系统安全确认的软件方面 88 表E.8 软件修改 88 表E.9 软件验证 89 表E.10 功能安全评估 89 表E.11 软件安全要求规范 90 表E.12 软件设计与开发:软件架构设计 91 表E.13 软件设计与开发:支持工具及编程语言 92 表E.14 软件设计与开发:详细设计 92 表E.15 软件设计与开发:软件模块测试和集成 93 表E.16 可编程电子集成(硬件和软件) 94 表E.17 软件方面的系统安全确认(软件安全确认) 94 表E.18 修改 95 表E.19 软件验证 95 表E.20 功能安全评估 96 前言 GB/T 20438《电气/电子/可编程电子安全相关系统的功能安全》分为七个部分: ---第1部分:一般要求; ---第2部分:电气/电子/可编程电子安全相关系统的要求; ---第3部分:软件要求; ---第4部分:定义和缩略语; ---第5部分:确定安全完整性等级的方法示例; ---第6部分:GB/T 20438.2和GB/T 20438.3的应用指南; ---第7部分:技术和措施概述。 本部分为GB/T 20438的第6部分。 本部分按照GB/T 1.1-2009给出的规则起草。 本部分代替GB/T 20438.6-2006《电气/电子/可编程电子安全相关系统的功能安全 第6部分: GB/T 20438.2和GB/T 20438.3的应用指南》,与GB/T 20438.6-2006相比,主要技术变化如下: ---增加了评估硬件失效概率的方法,如故障树、马尔科夫模型、佩特里网等(见附录B); ---增加了不同结构共因失效因子的方法(见附录D.7)。 本部分使用翻译法等同采用IEC 61508-6:2010《电气/电子/可编程电子安全相关系统的功能安全 第6部分:IEC 61508-2和IEC 61508-3的应用指南》。 本部分做了下列编辑性修改: ---为与现有标准系列一致,将标准名称改为《电气/电子/可编程电子安全相关系统的功能安 全 第6部分:GB/T 20438.2和GB/T 20438.3的应用指南》 本部分由中国机械工业联合会提出。 本部分由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。 本部分起草单位:机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、北京 和利时系统工程有限公司、上海黑马安全自动化系统有限公司、皮尔磁工业自动化贸易(上海)有限公 司、横河电机(中国)有限公司、上海工业自动化仪表研究院、上海中沪电子有限公司、西门子(中国)有限 公司。 本部分主要起草人:史学玲、熊文泽、潘钢、杨柳、黄之炯、李佳嘉、周有铮、姜雪莲、钱大涛、冯晓升、 罗安、李佳、刘晓东、方来华、田雨聪、顾峥、鲁毅、梅豪、许鹏、申弢。 本部分所代替标准的历次版本发布情况为: ---GB/T 20438.6-2006。 引 言 由电气和电子器件构成的系统,多年来在许多应用领域中执行其安全功能。以计算机为基础的系 统(一般指可编程电子系统)在其应用领域中用于执行非安全功能,并且也越来越多地用于执行安全功 能。如果要安全并有效地使用计算机技术,有关决策者在安全方面有充足的指导并据此做出决定是十 分必要的 。 GB/T 20438针对由电气和/或电子和/或可编程电子(E/E/PE)组件构成的、用来执行安全功能的 系统安全生命周期的所有活动,提出了一个通用的方法。采用统一的方法的目的是为了针对所有以电 为基础的安全相关系统提出一种一致的、合理的技术方针。主要目标是促进基于GB/T 20438系列标 准的产品和应用领域国家标准的制定。 注1:在参考文献中给出了基于GB/T 20438系列标准的产品和应用领域标准的例子(见参考文献[1],[2],[3])。 在许多情况下,可用多种基于不同技术(如机械的、液压的、气动的、电气的、电子的、可编程电子的 等)的系统来保证安全。因而不得不考虑各类安全策略,不仅要考虑单个系统中的所有组件的问题(如 传感器、控制器、执行器等),还要考虑不同安全相关系统组合后的问题。因此当GB/T 20438在关注电 气/电子/可编程电子(E/E/PE)安全相关系统的同时,也提供了一个框架,在这个框架内,基于其他技 术的安全相关系统也可被考虑进去。 在各种应用领域里,存在着许多潜在的危险和风险,包含的复杂性也各不相同,从而需应用不同的 E/E/PE安全相关系统。对每个特定的应用,根据特定应用的许多因素来确定所需的安全措施。 GB/T 20438作为基本原则可在未来的产品和应用领域国家标准制定和已有标准的修订中规范这些措施。 GB/T 20438 ---考虑了当使用E/E/PE系统执行安全功能时,所涉及的整体安全生命周期、E/E/PE系统安全 生命周期以及软件安全生命周期的各阶段(如初始概念、整体设计、实现、运行和维护到退役); ---针对飞速发展的技术,建立一个足够健全且广泛满足未来发展需求的框架; ---使涉及E/E/PE安全相关系统的产品和应用领域的国家标准得以制定;在GB/T 20438的框 架下,产品和应用领域的国家标准的制定在应用领域和交叉应用领域具有高度一致性(如基本 原理,术语等);这将既具有安全性又具有经济效益; ---为实现E/E/PE安全相关系统所需的功能安全,提供了编制安全要求规范的方法; ---采用了一种可确定安全完整性要求的基于风险的方法; ---引入安全完整性等级,用于规定E/E/PE安全相关系统所要执行的安全功能的目标安全完整 性等级; 注2:GB/T 20438没有规定每个安全功能的安全完整性等级的要求,也没有规定如何确定安全完整性等级。而是 提供了一种基于风险概念的框架和技术范例。 ---建立了E/E/PE安全相关系统执行安全功能的目标失效量,这些量都同安全完整性等级相 联系; ---建立了单一E/E/PE安全相关系统执行安全功能时,目标失效量的一个下限值;这些E/E/PE 安全相关系统运行在: ---低要求运行模式下,下限设定成要求时危险失效平均概率为10-5; ---高要求或连续运行模式下,下限设定成危险失效平均频率为10-9/h。 注3:单一E/E/PE安全相关系统不一定是单通道架构。 注4:对于非复杂系统,通过安全相关系统的设计实现更优目标安全完整性是可能的。但对于相对复杂的系统(例 如可编程电子安全相关系统),这些限值代表了目前能够达到的水平。 ---基于工业实践中获取的经验和判断,设定了避免和控制系统性故障的要求;即使发生系统性故 障的可能性一般不能量化,但GB/T 20438允许为一个特定的安全功能做出声明,即如果标准 中的所有要求都满足,认为与安全功能相关的目标失效量已达到; ---引入了系统性能力,该能力表明一个组件为满足规定的安全完整性等级要求时,系统性安全完 整性的置信度; ---采用多种原理、技术和措施以实现E/E/PE安全相关系统的功能安全,但没有明确地使用失 效-安全的概念。然而,如果能够满足标准中相关条款的要求,则“失效-安全”的概念和“本质 安全”原则可能被应用,并且采用这些概念是可接受的。 电气/电子/可编程电子安全相关系统的 功能安全 第6部分:GB/T 20438.2和 GB/T 20438.3的应用指南 1 范围 1.1 GB/T 20438的本部分包括GB/T 20438.2与GB/T 20438.3的信息以及指南。 ---附录A中阐述了 GB/T 20438.2及GB/T 20438.3的要求简述,以及应用中的功能步骤。 ---附录B列举了如何计算硬件失效概率。阅读时要结合GB/T 20438.2-2017的7.4.3、附录C 和本部分的附录D。 ---附录C给出了诊断覆盖率的计算示例,阅读时要结合GB/T 20438.2-2017的附录C。 ---附录D阐述了将硬件共因失效率量化的方法。 ---附录E给出了GB/T 20438.3-2017附录A中规定的在安全完整性等级2和3时软件安全完 整性表的应用示例。 1.2 GB/T 20438.1、GB/T 20438.2、GB/T 20438.3和GB/T 20438.4是基础的安全标准,虽然它不适 用于低复杂的E/E/PE安全相关系统(见GB/T 20438.4-2017的3.4.3),但作为基础安全标准,各技术 委员会可以在IEC 指南104和ISO/IEC 指南51的指导下制定相关标准时使用。GB/T 20438.1、 GB/T 20438.2、GB/T 20438.3和GB/T 20438.4也可作为独立标准来使用。GB/T 20438的横向安全 功能不适用于在IEC 60601系列指导下的医疗设备。 1.3 技术委员会的职责之一就是只要合适,在制定其标准时都应使用基础安全标准。也就是说,本基 础安全标准涉及的要求、测试方法或测试条件,只有在相关技术委员会制定标准时加以引用或包含时才 能得到应用。 1.4 图1表示了GB/T 20438的整体框架,同时明确了本部分在实现E/E/PE安全相关系统功能安全 过程中的作用。 图1 GB/T 20438的整体框架 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 20438.2-2017 电气/电子/可编程电子安全相关系统的功能安全 第2部分:电气/电子/ 可编程电子安全相关系统的要求(IEC 61805-2:2010,IDT) GB/T 20438.3-2017 电气/电子/可编程电子安全相关系统的功能安全 第3部分:软件要求 (IEC 61508-3:2010,IDT) GB/T 20438.4-2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义和缩略 语(IEC 61508-4:2010,IDT) 3 定义和缩略语 GB/T 20438.4-2017界定的定义和缩略语适用于本文件。 附 录 A (资料性附录) GB/T 20438.2和GB/T 20438.3的应用 A.1 概述 机械、工艺装置以及其他设备在工作不正常的情况下(例如电气、电子或可编程电子设备的失效)有 可能产生诸如火灾、爆炸、辐射超剂量、机械卷入等危险事件,对人员和环境产生一定风险。失效既可能 因设备的物理故障(如引起随机硬件失效),也可能因为系统性故障(如在系统的设计和规范中的人为错 误在一些特别输入组合的情况下导致的系统性失效)或者因为某个环境条件而产生。 GB/T 20438.1提供了一个基于风险方法的整体框架,用于防止和/或控制机电、电子或者可编程电 子设备中的失效。 GB/T 20438的总目标就是确保装置和设备安全地自动运行,其中关键目标就是防止: ---控制系统性失效触发其他事件,继而可能导致(火灾、有毒物质泄漏、机械设备反复冲击等)危 险;以及 ---保护系统(如紧急停车系统)中未检测到的失效,这些失效使系统不能在需要时正常执行安全动作。 GB/T 20438.1要求在过程或机器级执行一次危险和风险分析,从而确定在应用中满足风险准则所 必需的风险降低量。风险基于对危险事件的后果(或严重性)和频率(或概率)的评估。 GB/T 20438.1进一步要求由风险分析得到的风险降低量,来确定是否需要一个或几个安全相关系 统1)以及它们需要什么样的安全功能(每个都有一个规定的安全完整性2))。 GB/T 20438.2和GB/T 20438.3涉及了GB/T 20438.1分配给任意一个被指定为E/E/PE安全相 关系统的安全功能和安全完整性要求,并建立安全生命周期活动的要求,这些要求: ---将在硬件及软件的规范、设计、修改中使用;并且 ---重点是防止和/或控制随机硬件失效和系统性失效(E/E/PE系统和软件安全生命周期3))。 GB/T 20438.2和GB/T 20438.3并没有给出针对指定的可容忍风险要求,哪一级安全完整性合适 的指南。这取决于多种因素,包括应用的类别、其他系统执行安全功能的程度及社会、经济因素等(见 GB/T 20438.1及GB/T 20438.5)。 GB/T 20438.2与GB/T 20438.3的要求包括: ---措施与技术的应用4),这些措施与技术可按安全完整性进行分级,作为预防性方法用于避免系 统性失效5)。 1) 功能安全所需要的系统包含一个或多个电气(机电)、电子、可编程电子(E/E/PE)设备的系统......